<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<title>Die Sicherheitsarchitektur</title>
<meta name="author" content="Florian">
<link rel="stylesheet" type="text/css" href="CSS.css">
</head>
<body>
<h1>Die Sicherheitsarchitektur</h1>



 <div class="content">Es sollen sowohl ein Mail-, als auch ein Web-Server aufgesetzt werden. Beide Server kommen in eine sogenannte demilitarisierte Zone (DMZ). Eine DMZ ist ein separates Netzwerk f&uuml;r Rechner, die nicht vertrauensw&uuml;rdig sind. Dies sind in der Regel Maschinen, die direkt mit dem Internet verbunden sind und deshalb einem Hackerangriff zum Opfer fallen k&ouml;nnten. Um die internen Rechner zu sch&uuml;tzen, wird s&auml;mtlicher Traffic von der DMZ in das interne LAN unterbunden. (Weitere Informationen zum Thema DMZ finden Sie hier.)
<br> <br>

Regel drei wird wie folgt umgesetzt: Die einzigen Daten, die vom Internet direkt ins interne LAN gehen, entstehen durch Fernwartung. Die jeweiligen Admins brauchen den Fernzugriff auf die von ihnen betreuten Systeme. Daf&uuml;r wird der Dienst SSH eingerichtet, mit dessen Hilfe sich die Admins ins LAN einloggen k&ouml;nnen.
<br><br>

Ein weiterer Punkt kommt noch hinzu: DNS (Domain Name Service). Obwohl in den Sicherheitsbestimmungen nicht ausdr&uuml;cklich erw&auml;hnt, m&uuml;ssen wir diesen Dienst anbieten. Aus Sicherheitsgr&uuml;nden wird Split-DNS implementiert. Split-DNS bedeutet, dass DNS-Anfragen auf zwei verschieden Server verteilt werden. Der externe Server befindet sich in der DMZ und hat die Aufgabe Anfragen aus dem Internet zu beantworten. Der interne DNS-Server befindet sich im LAN und beantwortet alle Anfragen der Nutzer im LAN. Der Vorteil dieser Architektur: Da der interne DNS-Server Informationen enth&auml;lt, mit denen ein Hacker sich einen &Uuml;berblick &uuml;ber das interne Netzwerk verschaffen kann, mu&szlig; er gut gesch&uuml;tzt sein, dies wird durch die Platzierung im LAN erreicht. Diese Architektur wird jetzt in den Regelsatz f&uuml;r die Firewall umgesetzt. Sieht einfach aus, ist es aber nicht. Insgesamt elf Regeln werden gebraucht, um diese einfachen Sicherheitsbestimmungen auf Netzwerkebene durchzusetzen.
<br><br>

Anordnung der Regeln:
Die Abfolge der einzelnen Regeln ist von entscheidender Bedeutung. Dieselben Regeln, nur in unterschiedlicher Reihenfolge, kann die Arbeitsweise Ihrer Firewall radikal ver&auml;ndern. Viele Firewalls (beispielsweise SunScreen EFS, Cisco IOS und FW-1) arbeiten die Regeln von oben nach unten ab. Sobald die Firewall ein Datenpaket empf&auml;ngt, checkt Sie dieses Paket gegen die erste Regel, dann die gegen die zweite und dritte, bis sie an eine Regel kommt, die passt. Damit ist f&uuml;r die Firewall die Arbeit zu Ende, die Regel wird auf das Paket angewendet und alle folgenden Regeln werden nicht weiter beachtet. Sollte keine Regel zur Anwendung kommen, so verwirft die Firewall das Paket.
<br><br>

Es wird also nicht die Regel auf das Paket angewendet, die am besten passt, sondern die Regel, die als erste passt. Es ist deshalb wichtig, dass die spezifischen Regelen oben stehen, gefolgt von den allgemeinen Regeln. Damit sorgen Sie daf&uuml;r, dass eine allgemeine Regel zur Anwendung kommt, obwohl eine spezielle Regel angemessener gewesen w&auml;re.

 </div>


</body>
</html>
